» »

Clarkconnect: kako preprečiti DDoS napade iz lokalne mreže?

Clarkconnect: kako preprečiti DDoS napade iz lokalne mreže?

bastadu ::

Danes so mi pri Arnesu blokirali internet, češ da je z mojega naslova bil izveden DDoS napad, za katerega bi bil lahko odgovoren tudi kakšen virus... Problem je, ker imam net deljen še na cca. 20 računalnikov, ki so na internet povezani preko routerja z nameščenim Clarkconnect-om 2.1. Sedaj me zanima, če obstaja kakšno orodje za CC, ki bi mi povedalo iz katerega računalnika bi lahko prihajala ta poplava podatkov? Hvala za hiter odgovor!

Matri[X] ::

Nevem ce CC ima, vendar poglej v Snort loge. Snort ti detecta kar hoces, ce je le pravilno nastavljen.

OmegaBlue ::

Kolikor vem CC že sam po sebi preprečuje DDoS znotraj mreže, si prepričan da ni odgovoren prav strežnik?
Never attribute to malice that which can be adequately explained by stupidity.

Bakunin ::

tcpdump is your friend.

in ko najdes PC ter uporabnika uporabis na njem LART
http://ipv6.si/

bastadu ::

j, si lahko malo bolj specifičen, kje dobiti in kako uporabiti to zadevo?
Je pa ena zanimivost... nekaj časa nazaj sem enega uporabnika na mreži zalotil, ko mu je upload (merjeno z iptrafom) šibal nenormalno veliko - cca. 80kB/s - čeprav je na CCju omejeno na 8kB/s in pa uploada imamo skupaj 512kbit (dejansko okoli 60kB/s max.). To sem opazil 2× za par minut od enoinistega uporabnika, lahko da se je zgodilo večkrat... Bi lahko bilo to to?
Kolikor vem CC že sam po sebi preprečuje DDoS znotraj mreže, si prepričan da ni odgovoren prav strežnik?
S katerim orodjem to? Obstajajo kje kakšni logi?

bastadu ::

Tukaj je še opozorilen mail od Arnesa, katerega do danes nisem videl, ker ne prebiram arnesovega email računa. IPje sem zakriti, ker to itaq nima veze... Upam da bo kdo znal kaj pametnega iz tega razbrati:
........
Spoštovani!

Pišem vam v imenu varnostnega centra SI-CERT (Slovenian Computer
Emergency Response), ki deluje v okviru Arnesa. Radi bi vas opozorili,
da je sistem pod vašim upravljanjem z IP naslovom 212.xxx.xxx.xxx bil
udeležen v napadu s poplavo podatkov, ki smo ga zabeležili dne
07.04.2005 ob 18:36. V prilogi prilagamo izsek zabeleženega
pretoka podatkov.

Možno je, da je bil sistem zlorabljen in da je nekdo namestil
t.im. DDoS agente (programe, ki sprožijo poplavo podatkov) na vaš
sistem.

Prosimo vas, da primer raziščete in nas obvestite o vaših ugotovitvah
na naslov si-cert@arnes.si.

Vaš naslov je naveden kot naslov tehničnega kontakta za omrežje, ki mu
pripada sistem z IP naslovom 212.xxx.xxx.xxx. Če vi niste prava oseba za
prijavo varnostnih incidentov, vas vljudno prosimo, če lahko to
sporočilo posredujete osebi, ki je za obravnavo takšnih prijav
zadolžena.

Lep pozdrav,
Adrian King

Start End Sif SrcIPaddress SrcP DIf DstIPaddress DstP Pr Fl Pkts Octets
0407.18:35:43.441 0407.18:40:45.345 21 212.xxx.xxx.xxx 2148 34 193.xxx.xxx.xxx 12285 17 10 851 1276500
0407.18:35:43.449 0407.18:40:14.177 21 212.xxx.xxx.xxx 0 34 193.xxx.xxx.xxx 0 17 00 194 114761
0407.18:40:34.755 0407.18:45:38.163 21 212.xxx.xxx.xxx 0 34 193.xxx.xxx.xxx 0 17 00 138 81609
0407.18:40:45.911 0407.18:45:47.143 21 212.xxx.xxx.xxx 2148 34 193.xxx.xxx.xxx 12285 17 10 605 907500
0407.18:45:46.033 0407.18:50:48.709 21 212.xxx.xxx.xxx 0 34 193.xxx.xxx.xxx 0 17 00 124 73301
0407.18:45:50.133 0407.18:50:51.641 21 212.xxx.xxx.xxx 2148 34 193.xxx.xxx.xxx 12285 17 10 574 861000
0407.18:50:56.561 0407.18:51:30.173 21 212.xxx.xxx.xxx 2148 34 193.xxx.xxx.xxx 12285 17 10 76 114000
0407.18:51:01.289 0407.18:51:29.617 21 212.xxx.xxx.xxx 0 34 193.xxx.xxx.xxx 0 17 00 20 11830

.......

Zgodovina sprememb…

  • spremenilo: bastadu ()

bastadu ::

Ok z serverjem sem pred nekaj časa res imel probleme (že obstaja tema tukaj), ker bi mi naj nekdo nekaj šaril gor... Tako sem sedaj namestil na novo CC2.2 in zaenkrat deluje vredu (danes popoldan so me odblokirali)...Rekli so, da se to nikakor ne sme več ponoviti, drugače mi bodo za stalno onemogočili dostop:( Sedaj vas prosim za nasvete, kako to preverjat ali po možnosti zablokirati na samem routerju, da se nebi ponovilo...

bradek ::

http://www.ipcop.org

Ce ne rabis "server" funkcij CCja (mail, samba,...) potem si nalozi IPCopa. Hitrejsi security fixi, boljsi web interface (vec funkcij, dejansko onthefly generiras popolnoma prilagojena iptables pravila itd).

bastadu ::

Aha, ta IPCop je kao samostojen OS... to pride v poštev v skrajnem primeru, ker sem ravno na naovo namestil CC in si ne bi rad spet privoščil nekaj ur downtime-a... Še kakšni predlogi mogoče?

bradek ::

Mogoce se tole... CC 3.0 je zunaj ze kar nekaj casa, mogoce bi bilo dobro da mal updejtas?

bastadu ::

CC3.0 sploh ne morem namestiti, ker mi javi nek 'kernel panic'... Sem sedaj zopet namestil CC2.1 in me še vedno zanima za kakšen program za zaznavo oz. preprečevanje DoS napadov izven loklane mreže...

bradek ::

Po mojem mnenju imas ti kak hardverski problem. Kernel panic ne javi kar tako ;)

meacho ::

Preglej mašino s tem: Rkhunter.

Zgodovina sprememb…

  • spremenil: meacho ()

bastadu ::

Sem namestil in zagnal 'rkhunter' z --checkall mi je vrnilo tole:
....
Networking
* Check: frequently used backdoors
Port 2001: Scalper Rootkit [ OK ]
Port 2006: CB Rootkit [ OK ]
Port 2128: MRK [ OK ]
Port 14856: Optic Kit (Tux) [ OK ]
Port 47107: T0rn Rootkit [ OK ]
Port 60922: zaRwT.KiT [ OK ]

* Interfaces
Scanning for promiscuous interfaces [ Warning! ]
Found promiscuous interface.

.........................

Security advisories
* Check: Groups and Accounts
Searching for /etc/passwd... [ Found ]
Checking users with UID '0' (root)... [ OK ]

* Check: SSH
Searching for sshd_config...
Found /etc/ssh/sshd_config
Checking for allowed root login... Watch out Root login possible. Possible risk!
info:
Hint: See logfile for more information about this issue
Checking for allowed protocols... [ Warning (SSH v1 allow
ed) ]

* Check: Events and Logging
Search for syslog configuration... [ OK ]
Checking for running syslog slave... [ OK ]
Checking for logging to remote system... [ OK (no remote logging
) ]

[Press ENTER to continue]

---------------------------- Scan results ----------------------------

MD5
MD5 compared: 51
Incorrect MD5 checksums: 0

File scan
Scanned files: 342
Possible infected files: 0

Application scan
Vulnerable applications: 3

Scanning took 3801 seconds
Scan results written to logfile (/var/log/rkhunter.log)
----------------

Kaj bi to pomenilo?

ERGY ::

Checking for allowed root login... Watch out Root login possible. Possible risk!
info:
Hint: See logfile for more information about this issue
Checking for allowed protocols... [ Warning (SSH v1 allow
ed) ]


Ne spoznam se na te zadeve, vendat bi sklepal, da je mozno iz tega imeti ssh(shell), kjer se kot root prijavis, seveda potem sebi na voljo stimas zadeve.:\


Lp


p.s Na ta ssh je pomoje mozno dostopat tudi na daljavo:)

Zgodovina sprememb…

  • spremenilo: ERGY ()

qlman ::

Najbolse bi blo ce ne bi sploh imel linux-a.
Ker vidim da tvoj server ni prevec secure in sploh ni tezko dobit root ( legalno shell ).

to so pac tisti ki "ownajo" verjetno so ki komu prisel na scan listo ( npr. dal skenirat range 212.** ) in je
najdu skener tvoj ip to pomeni da si vuln ne za vse ampak za tiste ki znajo :))

bastadu ::

Zanima me, če mogoče kdo ve kako narediti, da bi CC na portu 22 sprejemal povezave samo z dveh fixnih IPjev ostalo pa blokiral?

lymph ::

sklepam, da cc temelji na iptables.
na zalost bo verjetno edina pametna moznost, da se poglobis v iptables :/

http://iptables-tutorial.frozentux.net/...
"Belief is immune to counter example."

bastadu ::

Ja itak temelji na iptables, sam to je kar glomazna zadeva in se nimam ravno časa poglabljat v to... Tako slučajno če že kdo ve se priporočam:P

ERGY ::

Nism strokovnjak, sam morde bi pa pomagalo ce bi filtriral ipje ????

Lp

Zgodovina sprememb…

  • spremenilo: ERGY ()

Malkec ::

dečko, ownali so te.

to da boš onemogočil dostop preko ssh port 22 nebo pomagalo nič, če bo napadalec še vedno mel dostop naprimer preko 80 porta. poskrbi za updejtanje vseh procesov, ki laufajo na mašini.
ker če ma nekdo id=0 na tvoji mašini, lahko spreminja vse nastavitve, vključno z iptables.

priporočam reinstall.
/* Xaser 3 * 939 dual sata 2 * Opti165 (ccb1e0608mpmw) @2933 MHZ*/
/*TT 120 * X800 XL *1GB Transcend pc 3200 * MAxtor 160 GB SATA II /

qlman ::

em update -aj linux in poglej za kak nov kernel ,
poglej kolk userjow mas oz. loge ce se ti je kdo logiral ce slucajnu ni pobrisal.

ERGY ::

histfile ponavadi pokaze na hitrco kaj se je dogajalo :) edin ce ga ni sklopu kdo k je kej saru ;)

LP

pecorin ::

filtriranje:

iptables -A INPUT -s [ip s katerega dovolis dostop] -p tcp --destination-port 22 -j ACCEPT (ta ukaz ponovis za vsak ip ki ga dovolis)
iptables -A INPUT -p tcp --destination-port 22 -j DROP

pa se v /etc/hosts.allow dodaj:
sshd: ipji, ki jih dovolis loceni z vejico

v /etc/hosts.deny pa:
ALL: ALL

alexb ::

Bastadu: Na zacetku si napisal, da nudis internet se 20 uporabnikom. Si kdaj prebral pravila dopustne uporabe?


Za nedopustno uporabo omrežja ARNES se šteje:

1. omogočanje dostopa do omrežja tretjim osebam


Glede na to, da ne smemo govoriti o crackih za igre, ker je to proti pravilom, potem je ta tema zrela za zaklep.

bastadu ::

pecorin: Kam točno dodati ta iptables pravila?

alexb: Sem jim povedal na Arnesu kako in kaj je nareto, pa niso zganjali nobenega haloja. So mi rekli da sem jaz odgovoren za ta IP in potem njih ne zanima kaj se dogaja ozadaj, pač moram poskrbet da do tega več ne pride. Nimamo pač v našem študentskem domu druge možnosti za internet, tako da... Imamo pa vsi uporabniki status študenta, tako da mislim da ni nič ilegalnega...:\

pecorin ::

te ukaze vpises v terminal. moras pa biti prijavljen kot root.

p.s. ce noces po vsakem rebootu teh ukazov ponovno vpisovati, si jih dodaj nekam v rc skripte..


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

SSH forwarding na Mikrotiku

Oddelek: Omrežja in internet
10944 (684) miki133
»

Več IP naslovov

Oddelek: Omrežja in internet
343781 (2795) Bakunin
»

Kako v linuxu naštimat dva IP naslova na eni mrežni karticikartici?

Oddelek: Operacijski sistemi
7868 (777) Bakunin
»

"apt-get install xy" težave (Debian)

Oddelek: Operacijski sistemi
71057 (958) B-D_
»

Samba porti

Oddelek: Omrežja in internet
341156 (852) hruske

Več podobnih tem